Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cap2 PDF
Cap2 PDF
CAPITULO II
MARCO TEÓRICO
II.1 SEGURIDAD
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no
está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad
Lógica, podemos pensar en la Seguridad Lógica como la manera de aplicar
procedimientos que aseguren que sólo podrán tener acceso a los datos las personas
o sistemas de información autorizados para hacerlo.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos
2. Los operadores deben trabajar sin supervisión minuciosa y no podrán
modificar ni programas archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto.
4. Asegurar que la información transmitida sea recibida sólo por el destinatario
al cual ha sido dirigida y por ningún otro.
5. Asegurar que la información que el destinatario ha recibido sea la misma que
ha sido transmitida.
6. Se debe disponer de sistemas alternativos de transmisión de información
entre diferentes puntos.
1 http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Etiquetas de Seguridad
Las Etiquetas de Seguridad son denominaciones que se dan a los recursos
(puede ser un archivo), las etiquetas pueden utilizarse para varios propósitos,
por ejemplo: control de accesos, especificación de pruebas de protección, etc.
En muchas implementaciones, una vez que la denominación ha sido hecha,
ya no puede ser cambiada, excepto, quizás, bajo cuidadosas condiciones de
control, que están sujetas a auditoría. Las etiquetas de seguridad son una
forma muy efectiva de control de acceso, pero a veces resultan inflexibles y
pueden ser costosas de administrar, y estos factores pueden desanimar en su
uso.
Control de Acceso Externo
Los controles de acceso externo son una protección contra la interacción de
nuestro sistema con los sistemas, servicios y gente externa a la organización.
Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto determinado del
computador host y pueden estar físicamente separados o incluidos en otro
dispositivo de comunicaciones, como por ejemplo un módem. Los
dispositivos de control de puertos actúan de manera previa e independiente
de las funciones de control de acceso propias del computador y comúnmente
son usados en comunicaciones seriales.
Se verá mas detalles sobre este punto en el sub capítulo sobre Seguridad en
Infraestructura.
Firewalls o Puertas de Seguridad
Los firewalls permiten bloquear o filtrar el acceso entre 2 redes,
generalmente una privada y otra externa (por ejemplo Internet), entendiendo
como red privada una ‘separada’ de otras.
Las puertas de seguridad permiten que los usuarios internos se conecten a la
red exterior al mismo tiempo que previenen la intromisión de atacantes o
virus a los sistemas de la organización, adicionalmente a estos beneficios los
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Actualmente es claro que las organizaciones son cada vez mas dependientes de
sus recursos informáticos, y vemos también que a la par de ello las organizaciones
diariamente enfrentan una serie de amenazas que de concretarse afectarían dichos
recursos. La mayoría de los sistemas de información no son inherentemente
seguros y las soluciones técnicas son sólo una parte de la solución total del
problema de seguridad.
En este capítulo revisaremos las siguientes áreas de interés:
§ Recuperación de Desastres
§ Seguridad Física
§ Forénsica
§ Educación y Documentación
Acciones Hostiles
Los sistemas de TI son vulnerables a una serie de amenazas que pueden
ocasionar daños que resulten en pérdidas significativas. Los daños pueden ser
de diversos tipos, como alterar la integridad de la Base de Datos o un incendio
que destruya todo el centro de cómputo, por otro lado las pérdidas pueden ser
consecuencia de acciones de empleados supuestamente confiables o de hackers
externos, la precisión para calcular las pérdidas no siempre es posible, algunas
de ellas nunca son descubiertas y otras son “barridas bajo la alfombra” a fin de
evitar publicidad desfavorable para la organización, los efectos de las amenazas
varían desde afectar la confidencialidad e integridad de los datos hasta afectar la
disponibilidad del sistema. Algunas de las amenazas ya han sido vistas en
rubros anteriores, ahora trataremos las siguientes:
§ Robo y Fraude
§ Espionaje
§ Sabotaje
§ Hackers y código maliciosos
6 Tesis “Seguridad Informática: Sus implicancias e implementación”. Cristian Borghello 2001, www.cfbsoft.com.ar
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Robo y Fraude
Los sistemas de TI pueden ser usados para estas acciones de manera
tradicional o usando nuevos métodos, por ejemplo, un individuo puede usar
el computador para sustraer pequeños montos de dinero de un gran número
de cuentas financieras bajo la suposición de que pequeñas diferencias de
saldo no serán investigadas, los sistemas financieros no son los únicos que
están bajo riesgo, también lo están los sistemas que controlan el acceso a
recursos de diversos tipos, como: sistemas de inventario, sistemas de
calificaciones, de control de llamadas telefónicas, etc.
Los robos y fraudes usando sistemas de TI pueden ser cometidos por
personas internas o externas a las organizaciones, estadísticamente los
responsables de la mayoría de los fraudes son personas internas a la
organización.
Adicionalmente al uso de TI para cometer fraudes y robos, el hardware y el
software del computador también son vulnerables al robo, de la misma forma
que lo son las piezas de stock y el dinero, también es necesario ser consciente
de que para hablar de robo no es necesario que una computadora o una parte
de ella sea sustraída, es frecuente que los operadores utilicen la computadora
de la empresa para realizar trabajos privados o para otras organizaciones y, de
esta manera, robar tiempo de máquina, la información también es susceptible
de ser sustraída pues puede ser fácilmente copiada, al igual que el software,
del mismo modo las cintas y/o discos pueden ser copiados sin dejar rastro.
Cada año millones de dólares son sustraídos de empresas y en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para
dichos fines, ya sea para transferencias ilícitas de dinero, alteración de saldos
de cuentas, eliminación de registros de deuda, u otras actividades similares,
sin embargo, debido a que las partes implicadas (compañía, empleados,
fabricantes, auditores, etc.), en lugar de ganar, tienen mas que perder, ya sea
en imagen o prestigio, no se da publicidad a este tipo de situaciones.
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Sabotaje
Una gran parte de las empresas que han intentado implementar programas de
seguridad de alto nivel, han encontrado que la protección contra esta amenaza
es uno de los retos mas duros, el saboteador puede ser un empleado o un
sujeto ajeno a la empresa y sus motivos pueden ser de lo mas variados.
Al estar mas familiarizados con las aplicaciones, los empleados saben que
acciones causarían mas daño, por otra parte el downsizing ha generado
grupos de personas con conocimientos sobre diversas organizaciones y con
conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje mas
comunes tenemos:
§ Destrucción de hardware
§ ‘Bombas lógicas’ para destrucción de programas y/o datos
§ Ingreso erróneo de datos
§ Exposición de medios magnéticos de almacenamiento de información
a imanes
§ Introducción de suciedad, partículas de metal o gasolina por los
conductos de aire acondicionado.
§ Corte de las líneas de comunicaciones y/o eléctricas
Espionaje
Se refiere a la acción de recolectar información propiedad de una compañía
para ayudar a otra compañía. Desde que la información es procesada y
almacenada en computadoras, la seguridad informática puede ayudar a
proteger este recurso, sin embargo es muy poco lo que puede hacer para
evitar que un empleado con autorización de acceso a información pueda
entregarla o venderla.
Hackers y Código Maliciosos
El término hacker, se refiere a los atacantes que se introducen en un sistema
sin autorización y pueden ser internos o externos a la organización, existen
diferencias entre estos atacantes, el hacker tiene por finalidad introducirse en
el sistema y hacer notar que lo logró, el que además de introducirse sin
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
7
Source: NIST Special Publication 800-5.
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
también a las zonas del cableado necesario para conectar los elementos del
sistema, de energía eléctrica, aire acondicionado o calefacción, líneas
telefónicas, dispositivos de backup, documentos fuente y otros elementos
necesarios para la operación del sistema, eso significa que es necesario
identificar todas las zonas de las instalaciones que contengan elementos del
sistema.
Es importante revisar los controles de acceso físico a cada área, en horario de
trabajo y fuera de él, para determinar si los intrusos pueden evadir los
controles y evaluar la efectividad de los procedimientos.
Se debe considerar la posibilidad del ingreso subrepticio de un intruso, por
ejemplo por el techo o por una abertura en la pared que puede ser cubierta
con el mobiliario, si una puerta es controlada por una cerradura con
combinación, el intruso puede observar a una persona autorizada introducir la
clave, si las ‘tarjetas llave’ no son controladas cuidadosamente, el intruso
puede robar una o usar la de un cómplice, todas estas posibilidades dan paso
a medidas correctivas enfocadas a eliminarlas, la idea es adicionar barreras
para reducir el riesgo en las áreas cubiertas por dichas barreras.
Fallas en servicios accesorios
Los sistemas de TI y las personas que los operan requieren un ambiente de
trabajo razonablemente bajo control, en estos ambientes usualmente se
utilizan equipos de servicios accesorios como por ejemplo los de aire
acondicionado que cuando fallan ocasionan una interrupción del servicio y
pueden dañar el hardware.
Los equipos de servicios accesorios tienen diversos elementos, cada uno de
ellos tiene un Tiempo entre fallas (mean-time-between-failures MTBF) y un
Tiempo de reparación (mean-time-to-repair MTTR) , el riesgo de fallas se
puede reducir adquiriendo equipos con valores MTBF bajos y el MTTR se
puede reducir manteniendo un stock de repuestos y personal entrenado en su
mantenimiento, estas y otras estrategias se evaluarán comparando la
reducción del riesgo con los costos de conseguirlo.
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Interceptación de datos
Existen tres formas en que los datos pueden ser interceptados: observación
directa, interceptación de la transmisión de datos e interceptación
electromagnética.
§ Observación directa .- en la mayoría de los casos es relativamente
fácil reubicar la pantalla para eliminar la exposición de los datos a un
observador no autorizado.
§ Interceptación de la transmisión de datos .- si un interceptor logra el
acceso a las líneas de transmisión, fácilmente tendrá acceso a los
datos transmitidos, adicionalmente a ello puede transmitir data falsa
con propósitos de fraude u otros.
§ Interceptación electromagnética .- los sistemas generalmente irradian
energía electromagnética que puede ser detectada por receptores de
propósito especial, en estos casos la distancia es determinante para
que la intercepción sea exitosa, a menor distancia entre el sistema y el
receptor mas posibilidad de éxito.
Sistemas móviles y portátiles
El análisis y el manejo de los riesgos debe ser modificado en sistemas de esta
naturaleza, por ejemplo un sistema instalado en un vehículo o una laptop.
Estos sistemas comparten un riesgo mayor de robo y daño físico, inclusive de
accidentes vehiculares, y si procesan datos particularmente importantes y/o
valiosos, es apropiado almacenar los datos en un medio que pueda ser
removido del sistema cuando éste se encuentra desatendido o encriptar los
datos.
Control de Accesos
El control de acceso se refiere no solamente a la capacidad de identificación de
la persona que solicita el acceso, sino también está asociado a la apertura o
cierre de puertas, y también a conceder o negar acceso basándose en horarios,
en áreas o sectores dentro de una empresa o institución.
Las formas de control de accesos que veremos a continuación son:
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Patrones de Voz
Hasta 7 parámetros de tonos nasales, vibraciones en la laringe y garganta, y
presión de aire en la voz son capturadas por sensores de audio. Este sistema
es muy sensible a factores externos como : ruido, estado de ánimo y/o de
salud de la persona, envejecimiento, etc.
Patrones de Retina
El sistema trabaja en base a patrones de los vasos sanguíneos de la retina, en
el área de la retina que se encuentra detrás del globo ocular.
Patrones de Iris
El iris, que es la porción alrededor de la pupila que da color al ojo, tiene un
patrón único de estrías, puntos, filamentos, aros, vasos, etc. que permite la
identificación efectiva de una persona.
Dinámica de firma
La velocidad de la firma, la dirección y la presión son captados por
sensores, el proceso de escribir genera una secuencia sonora de emisión
acústica, esto constituye un patrón que es único en cada individuo.
Emisión de Calor
Se basa en el termograma, que es la medición del calor que emana el cuerpo,
realizando un mapa de valores sobre la forma de cada persona.
Protección Electrónica
Este tipo de protección hace uso de elementos sensores que detectan una
situación de riesgo, la transmiten a una central de alarmas, ésta procesa la
información que ha recibido y en respuesta emite señales alertando sobre la
situación.
Edificios inteligentes
Un edificio inteligente se define como una estructura que facilita a usuarios
y administradores, herramientas y servicios integrados a la administración y
comunicación, esto a través de la integración de la totalidad de los sistemas
existentes en el inmueble, como por ejemplo teléfonos, seguridad,
comunicaciones por computador, control de subsistemas (calefacción, aire
acondicionado, entre otros) y todas las formas de administración de energía.
II.1.2.3 Forénsica
El término forénsica se refiere al examen sistemático o científico de evidencia
durante la investigación de un crimen.
La computación forénsica involucra el examen metódico de todos y cada uno de
los datos relevantes que pueden ser encontrados en un computador, en un
intento de descubrir evidencia o recrear eventos; los datos son todo lo que está
almacenado en dicho computador, como: cartas, e-mails, documentos, archivos
de imágenes, logs de los firewalls, o routers, de los Sistemas de Detección de
Intrusos, etc.
Las técnicas de la forénsica son empleadas frecuentemente en casos de delito
informático, un caso típico es cuando la red ha sufrido un ataque y el equipo
forense trata de determinar en que punto el hacker rompió la seguridad del
sistema, si uno o mas computadores han sido comprometidos en el ataque y
cual o cuales son; otro punto a determinar por el equipo forense es la actividad
del hacker en el sistema, es básico identificar como ingresó y eliminar los
Caballos de Troya (‘Trojan horses’), puertas traseras (‘Back doors’) u otros
elementos que el hacker haya dejado. Todos los hallazgos del equipo forense
deberán ser documentados de manera muy cuidadosa y precisa.
La documentación de los sucesos cobra mayor importancia, toda vez que,
dependiendo de la legislación del país, ésta puede ser usada como evidencia
para enjuiciar al hacker. Como un ejemplo de lo que un equipo forense puede
hacer : durante la investigación al Presidente Clinton que realizó un Consejo
Independiente, algunos de los e-mails que Mónica Lewinsky dirigió al
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Conocimiento
Entendemos este nivel como ‘dar a conocer’ la importancia de las prácticas
de seguridad y las políticas de la organización al respecto. Es necesario que
se tenga conciencia que actualmente en el ambiente de sistemas de TI, casi
todos en la organización tienen acceso a estos recursos y por lo tanto pueden
causar daño en ellos.
Este ‘dar a conocer’ enfatiza el hecho de que la seguridad da soporte a la
misión de la organización al proteger los recursos valiosos y motiva a los
empleados respecto a las políticas de seguridad, es común encontrar que éstos
piensan que la seguridad es un obstáculo para la productividad y que su
función es producir y no proteger, por eso esta motivación busca cambiar la
actitud en las organizaciones dando a conocer a los empleados la importancia
de la seguridad y las consecuencias de su falta.
Entrenamiento
El propósito del entrenamiento es enseñar al personal las habilidades
necesarias para desarrollar sus labores de manera más segura, esto incluye el
que hacer y como hacerlo. El entrenamiento es más efectivo cuando está
enfocado a una audiencia específica, pues es distinto lo que se imparte a los
usuarios en general de lo que es necesario dar a los ejecutivos o al personal
técnico.
Educación
La educación en seguridad es algo mas profundo y está dirigido a
profesionales del área o personas cuyo trabajo requiere especialización en
seguridad.
La Educación en seguridad está más allá de los alcances de los programas de
Conocimiento o Entrenamiento de las organizaciones.
Documentación
La documentación de todos los aspectos de operación y soporte de los
computadores es importante para asegurar continuidad y consistencia. La
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
II.1.3 Criptología
escritura secreta, también se puede definir como la ciencia y arte de escribir para
que sea indescifrable el contenido del texto original para el que no posea la clave.
El Criptoanálisis es la ciencia que estudia los métodos para descubrir la clave, a
partir de textos cifrados, o de inserción de textos cifrados falsos, válidos para el
receptor.
La Criptología es el conocimiento que engloba la criptografía y el criptoanálisis y
se define como la ciencia de la creación y ruptura de cifrados y códigos.
Figura II.1
Fuente: Seguridad Informática y Criptografía. Jorge Ramió Aguirre,
Universidad Politécnica de Madrid (1998).
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
DES
DES (Data Encryption Standard) ha sido el estándar utilizado mundialmente
durante 25 años, generalmente en la banca. Hoy presenta signos de
envejecimiento y ha sucumbido a los diversos criptoanálisis que contra él se
viene realizando hace ya años. Las especificaciones técnicas de DES son:
§ Bloque a cifrar: 64 bits
§ Clave: 8 bytes (con paridad, no caracteres ASCII)
§ Normas ANSI:
–X3.92: Descripción del algoritmo.
–X3.108: Descripción de los modos de operación (ECB, CBC, OFB).
§ Fácil implementación en un circuito integrado.
§ La clave en sí son sólo 56 bits efectivos, puesto que al ser datos de 8
bits, se conoce el bit de paridad; por lo tanto el espacio de claves es :
256 = 7.2 · 1016, tan sólo 72 mil billones de valores.
números primos, cuando éstos últimos tienen una longitud superior a los cien
dígitos.
Se enumera a continuación las características de un criptosistema de clave
pública:
§ Conocer Ek no revela ningún dato acerca de Dk o viceversa
§ La clave pública no permite que la otra pueda ser deducida
§ Cada usuario dispone del par (Ek, Dk), donde Ek es pública y Dk es
privada
§ El mensaje cifrado se obtiene de la siguiente manera : cA= {EB
(mA)}, donde A es el emisor y B el receptor.
§ El mensaje original se obtiene o descifra : mA= DB{ EB (mA)}
§ Se verifica además: mA= EB{ DB (mA)}
Como se puede ver el hecho de usar parejas de claves permite que para enviar
un mensaje confidencial a un destinatario, basta cifrar dicho mensaje con la
clave pública de ese destinatario, de esa forma sólo él podrá descifrarlo
haciendo uso de su clave privada, no es necesario un intercambio previo de
claves entre emisor y destinatario, el emisor sólo requiere la clave pública del
destinatario. Asimismo cada usuario puede cifrar un mensaje con su clave
privada de tal forma que otro pueda descifrarlo con su clave pública, de esta
manera se implementa la Firma Digital.
Para evitar suplantaciones de identidad, se requiere contar con una tercera parte
de confianza que acredite cual es la clave pública de una persona o entidad, esta
es la función de las Autoridades de Certificación.
Los algoritmos de cifrado asimétrico son:
§ RSA.- Creado por Ron Rives, Adi Shamir y Leonard Adleman., su
característica principal es que sus claves pública y privada se calculan
en base a un número obtenido como producto de 2 números primos
grandes. Podemos ver el algoritmo en http://rsasecurity.com
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Firma: f = EdE{H(M)}
Las funciones hash deben cumplir las siguientes propiedades para garantizar
seguridad:
1. Unidireccionalidad.- Conocido un resumen H(M), debe ser
imposible computacionalmente, hallar M a partir de dicho
resumen.
2. Compresión.- A partir de un mensaje M de cualquier longitud, el
resumen H(M) debe tener una longitud fija, y la longitud de
H(M) será menor que la de M.
3. Facilidad de cálculo.- A partir de un mensaje M debe ser fácil
calcular H(M).
4. Difusión.- El resumen H(M) debe ser una función compleja de todos
los bits del mensaje M, por lo tanto si un bit del mensaje M
es modificado, entonces el hash H(M) debería cambiar la
mitad de sus bits aproximadamente.
5. Colisión simple.- Conocido M, será computacionalmente imposible
hallar un M’ tal que H(M) = H(M’), esto se denomina
Resistencia débil a las Colisiones.
6. Colisión fuerte.- Será computacionalmente difícil encontrar un par
(M, M’) tal que H(M) = H(M’), esto se denomina
Resistencia fuerte a las Colisiones.
A continuación se enumeran los algoritmos de resumen en criptografía :
§ MD5: Creado por Ron Rivest en 1992 proporciona mejoras al MD4 y
MD2 (1990), es más lento pero con mayor nivel de seguridad.
Resumen de 128 bits.
§ SHA-1: Del NIST, National Institute of Standards and Technology,
1994. Es similar a MD5 pero con resumen de 160 bits, otras nuevas
propuestas conocidas son SHA-256 y SHA-512.
§ RIPEMD: De la Comunidad Europea, RACE, 1992. Resumen de 160
bits.
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Las funciones hash vistas (MD5, SHA-1, etc.) pueden usarse además para
autenticar a dos usuarios. Como carecen de una clave privada no pueden usarse
de forma directa para estos propósitos. No obstante, existen algoritmos que
permiten incluirles esta función, entre ellos está HMAC, una función que
usando los hash vistos y una clave secreta, autentica a dos usuarios mediante
sistemas de clave secreta. HMAC se usa en plataformas IP seguras como por
ejemplo en Secure Socket Layer, SSL.
PAG 50
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Presentación
Aplicación
Sesión
Transporte
TCP
Red
IP
Figura II.2
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Aplicación
Seguridad
TCP
IP
Enlace de Datos y
Físico
Figura II.3
En este nivel la seguridad está dirigida a tres rubros que son de particular
preocupación: Mensajes electrónicos, transacciones en la Web y pagos en línea;
todos estos rubros están sujetos a riesgos potenciales tanto de pérdidas
financieras como de imagen y relaciones públicas y aspectos legales y requieren
una seguridad mayor que la que proporcionan protocolos de seguridad de
niveles inferiores.
Cuando la seguridad está ubicada en este nivel tenemos las siguientes ventajas:
§ Menos datos a procesar
§ Interfaz sencilla con la aplicación
§ Compatibilidad con sistemas conectados a otro tipo de redes
Y la desventaja de tener que considerar la implementación para cada aplicación
en cada sistema extremo
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Aplicación
Seguridad
TCP
IP
Enlace de Datos y
Físico
Figura II.4
Aplicación
TCP
Seguridad
IP
Enlace de Datos y
Físico
Figura II.5
dominio controlado con una información de referencia, dicho contenido puede ser
una información explícita, por ejemplo una contraseña, o bien información que
exija un análisis estructural del mensaje para descubrir un patrón catalogado, sea
de infección (virus, worms, etc.) o de modificación (intrusión). En todos los casos,
el resultado de la comparación conlleva a decisiones de ‘apertura’ o ‘cierre’ de
puertas, seguidas de otras posibles medida de salvaguarda.
II.1.5.1 Filtros
Los mecanismos de filtro que se instalan en los nodos-conectores de las redes
tienen como función controlar el acceso de terceros a los flujos de información.
Los nodos pueden ser de tres tipos según su nivel OSI y función:
§ Repetidor. Nivel 1, Físico.- se emplea en un mismo edificio para
enlazar equipos comunicados directamente.
§ Puente (Bridge). Nivel 2, Enlace.- enlaza dos subredes y copia el tráfico
de una a otra cuando su origen y destino están en cada orilla. El puente
aprende de manera dinámica que equipos se encuentran en cada subred
y distribuye tráfico y evita saturaciones en el mismo edificio.
§ Encaminador (Router). Nivel 3-4, Enlace-Red.- enlaza dos redes unidas
por canales externos al edificio atendiendo direcciones de red; por lo
tanto suele clasificar los paquetes por protocolo y exigir mecanismos de
filtrado específicos.
Un Firewall es un mecanismo de filtro avanzado que protege la
confidencialidad e integridad de la información que lo atraviesa, protege una
red de otra en la que no se tiene confianza, su función es básicamente separar la
red interna de una organización de Internet. Funcionalmente el firewall es un
dispositivo lógico que tiene funciones de separación, limitación y análisis del
flujo de la información que circula entre sus dos puertas, como ejerce un control
de acceso centralizado, su efectividad exige que lo atraviese todo usuario
interno/externo/remoto para acceder desde/a las redes internas protegidas. Los
firewalls pueden trabajar en tres niveles:
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Donde:
mercado digital. Es decir aunque no nos hayamos dado cuenta, casi todos nosotros ya
somos partícipes del mercado electrónico.
Para comenzar participando en el Comercio Electrónico, y realizar transacciones a
través del mercado electrónico, se debe cumplir lo siguiente:
En relación a las infracciones que pueden cometer los clientes al realizar acciones
prohibidas que no van de acuerdo a las políticas de uso definidas en el contrato de
servicios de un sitio web:
Entonces, ¿cuáles son los planteamientos estratégicos que estas dos compañías
tienen?, acaso ¿pueden haber empresas de productos de competencia similar que se
enfrenten?.
El Caso:
• VENEZUELA:
CERTIFICADOS ELECTRONICOS
§ Garantía de la autoría de la Firma Electrónica.
§ Vigencia del Certificado Electrónico.
§ Cancelación.
§ Suspensión temporal voluntaria.
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
• CHILE:
8
¿Por qué se demoró la introducción del Comercio electrónico en Chile? Por Claudio Alegría G.
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
• ESTADOS UNIDOS :
9
MOBILE NEWS - 29 Abril 2002
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Congreso de la República:
• Ley Nº 27419 de 25 de enero del 2001: Ley sobre notificación por correo
electrónico. Modificación de los Artículos 163º y 164º del Código
Procesal Civil.
o Artículo 163º: “Notificación por telegrama o facsímil, correo
electrónico u otro medio”.
Seguridad el comercio electrónico. Mattos Lescano, Elisa Zoraida.